Identyfikacja przez wideo (Videoident) jest obecnie wstrzymywana w kasach chorych. Tłem tego jest udany atak Chaos Computer Club (CCC), w którym udało się uzyskać dostęp do elektronicznej kartoteki pacjentów osoby badanej za pomocą zmanipulowanych dokumentów tożsamości. W obawie przed nadużyciem wrażliwych danych pacjentów, do których można było w ten sposób uzyskać dostęp, kasy chorych zablokowały obecnie wstępnie wszystkich dostawców Videoident, niezależnie od znanych luk w zabezpieczeniach.

Czy procedury Videoident są nadal bezpieczne pod względem bezpieczeństwa danych?

Gdzie stosuje się Videoident?

Do tej pory procedury wideoidentyfikacji były stosowane w wielu dziedzinach, w których możliwy jest dostęp online do wrażliwych danych. Przy rejestracji konta bankowego, kontroli kredytowej, umowach ubezpieczeniowych, kontroli usług car sharingu oraz w sektorze zdrowia procedura wideoident stanowi istotny element bezpieczeństwa danych cyfrowych.

Od 2021 roku dostęp do tzw. kartoteki e-pacjenta, a w międzyczasie także do e-recepty, jest możliwy za pośrednictwem procedury Videoident.

Jak Videoident może zostać zdublowany?

Na stronie Sprawozdanie KK badacze bezpieczeństwa wyjaśniają, jak "za pomocą oprogramowania open-source i odrobiny czerwonej farby akwarelowej udało im się oszukać sześć rozwiązań Videoident poprzez 'wideotechniczną rekombinację kilku dokumentów źródłowych' i oszukać pracowników lub oprogramowanie, aby myśleli, że są kimś innym". Ataki przeszły niezauważone.

WOŚP uzyskała w ten sposób dostęp do danych o stanie zdrowia osoby badanej. Było to możliwe przy niewielkiej wcześniejszej wiedzy, w krótkim czasie i przy niewielkim wysiłku. Z drugiej strony, ryzyko i wrażliwość tych danych są bardzo wysokie.

Nawet wykorzystanie SI w procedurze nie usuwa tej poważnej luki w zabezpieczeniach. Badacze bezpieczeństwa stwierdzili: "Założenie, że nowoczesne procedury wideoidentyfikacji mogą naprawić znane słabości "dzięki wykorzystaniu sztucznej inteligencji", okazało się w praktyce fałszywe".

Po co zatrzymywać wszystkie procedury Videoident?

W oparciu o ustalenia CCC, Gematik już przed opublikowaniem raportu zakazał stosowania jakichkolwiek procedur Videoident przez firmy ubezpieczeniowe ze względów bezpieczeństwa.

Stowarzyszenie branży IT Bitkom skrytykowało tę dalekosiężną decyzję. Ludzie, którzy teraz muszą się identyfikować z kasą chorych, byliby zmuszeni do wyboru analogowych sposobów. Stworzyłoby to "niepotrzebną przeszkodę na drodze do cyfrowej opieki zdrowotnej". Natychmiastowa identyfikacja poprzez procedurę Videoident jest "niezbędna do szybkiego, bezpiecznego i łatwego udostępnienia usług cyfrowych". Dlatego musi być natychmiast ponownie zatwierdzona przez ubezpieczycieli zdrowotnych.

Z kolei CCC domaga się, "aby ta niebezpieczna technologia nie była już stosowana tam, gdzie istnieje wysoki potencjał szkód".

Oświadczenie Ministerstwa Zdrowia i Ministerstwa Spraw Wewnętrznych

Federalne Ministerstwo Zdrowia, podobnie jak Gematik, opowiedziało się za blokadą.

Federalne Ministerstwo Spraw Wewnętrznych określiło procedurę Videoident jako "technologię pomostową, która jest obecnie stosowana do zdalnej identyfikacji ze względu na jej penetrację rynku i dostępność". Czy i w jakim zakresie mogłaby być nadal stosowana, zostanie dokładnie zbadane.

Potrzebujesz wsparcia w zakresie bezpieczeństwa danych lub ochrony danych? Nasz zespół ekspertów z chęcią Ci pomoże!

pl_PLPolski